シュナイダーエレクトリックの複数製品に対する、OpenSSL における Change Cipher Specメッセージ処理の脆弱性の影響についての説明です。

OpenSSL には、初期 SSL/TLS ハンドシェイクにおける Change Cipher Spec メッセージの処理に脆弱性が存在します。この脆弱性について、複数のシュナイダー製品、APCブランド製品への影響を説明します。

こちらのOpenSSLの脆弱性にの詳細については以下サイトを参照してください。

CVE-2014-0224
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224

JVN#61247051
OpenSSL における Change Cipher Spec メッセージの処理に脆弱性
http://jvn.jp/jp/JVN61247051/index.html

以下のOpenSSLバージョンに脆弱性が報告されています。

- サーバ側:

OpenSSL 1.0.1 系列のうち OpenSSL 1.0.1g およびそれ以前

- クライアント側:

OpenSSL 1.0.1 系列のうち 1.0.1g およびそれ以前
OpenSSL 1.0.0 系列のうち 1.0.0l およびそれ以前
OpenSSL 0.9.8 系列のうち 0.9.8y およびそれ以前

シュナイダーエレクトリックの各製品への影響はありません。詳細は以下の通りです。

• Data Center Operations (DCO)： 影響なし (OpenSSL v0.9.8を使用)
• Data Center Expert (DCE)  version 7.2.5： 影響なし (OpenSSL v1.0.1eを使用)。Linuxに関連するOpenSSLのバージョンと脆弱性の影響を受けるバージョンはこちらのサイトでご確認ください。 https://access.redhat.com/articles/904433
• NetBotz Appliances 4.4.2： 影響なし (OpenSSL 0.9.8zcを使用。この脆弱性についてはOpenSSL 0.9.8zaで修正済み。www.openssl.org/news/vulnerabilities.htmlを参照ください。)
• Network Management Card (NMC)： 影響なし(OpenSSLは不使用)
• PowerChute Network Shutdown： 影響なし (PowerChute Network Shutdown v3.1/v4.x VMware仮想アプライアンスがサーバ側 OpenSSL 0.9.8eを使用、それ以外は不使用)
• PowerChute Business Edition： 影響なし (サーバ側 OpenSSL 0.9.4を使用)